محققان امنیت سایبری بسته مخربی به نام “os-info-checker-es6” را کشف کرده‌اند که خود را به عنوان ابزار اطلاعات سیستم عامل جا می‌زند تا مخفیانه بارهای مخرب بعدی را روی سیستم‌های آسیب‌دیده قرار دهد. این کمپین از تکنیک‌های پیشرفته‌ای مانند استگانوگرافی مبتنی بر یونیکد برای مخفی کردن کد مخرب اولیه و استفاده از لینک کوتاه رویداد Google Calendar به عنوان dropper پویا برای بار نهایی استفاده می‌کند.

بسته که در 19 مارس 2025 در رجیستری npm منتشر شد، تاکنون 2001 بار دانلود شده است. نسخه‌های اولیه هیچ رفتار مخربی نداشتند، اما نسخه منتشر شده در 7 مه 2025 حاوی کد مبهم‌سازی شده در فایل “preinstall.js” است که کاراکترهای یونیکد “Private Use Access” را تجزیه کرده و بار مرحله بعد را استخراج می‌کند. کد مخرب با لینک کوتاه رویداد Google Calendar تماس برقرار می‌کند که به عنوان dead drop resolver برای مبهم‌سازی زیرساخت کنترل‌شده مهاجم عمل می‌کند. محققان شش تکنیک اصلی دشمنان در نیمه اول 2025 را شناسایی کرده‌اند که شامل typoquatting، سوءاستفاده از کش مخزن Go، مبهم‌سازی، اجرای چندمرحله‌ای، slopsquatting و سوءاستفاده از سرویس‌های مشروع است.